Jarvis OJ--level3

最新推荐文章于 2022-01-22 21:49:04 发布
最新推荐文章于 2022-01-22 21:49:04 发布
阅读量239 收藏
点赞数 1
分类专栏: # pwn 文章标签: 简单rop
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43092232/article/details/102997669
版权

要点:通过read()的溢出构造rop链,获得write()函数的真实地址,再利用libc的偏移算出system和“/bin/sh”的地址,再次利用write()溢出,执行system,就能得到shell。
level3.rar.2047525b05c499c9dd189ba212bba1f8
首先查看一下开启了哪些保护:
在这里插入图片描述
开启了NX,栈上不能执行shellcode。
然后用IDA查看一下代码:
main:

.text:08048484 ; =============== S U B R O U T I N E =======================================
.text:08048484
.text:08048484 ; Attributes: bp-based frame
.text:08048484
.text:08048484 ; int __cdecl main(int argc, const char **argv, const char **envp)
.text:08048484                 public main
.text:08048484 main            proc near               ; DATA XREF: _start+17↑o
.text:08048484
.text:08048484 var_4           = dword ptr -4
.text:08048484 argc            = dword ptr  8
.text:08048484 argv            = dword ptr  0Ch
.text:08048484 envp            = dword ptr  10h
.text:08048484
.text:08048484 ; __unwind {
   
.text:08048484                 lea     ecx, [esp+4]
.text:08048488                 and     esp, 0FFFFFFF0h
.text:0804848B                 push    dword ptr [ecx-4]
最低0.47元/天 解锁文章
_n19hT
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF pwn——jarvisoj_level3
CNS-Enterprise BCC-1701-J
04-21 159
BUUCTF 做题练习
jarvisoj_level3
m0_52231248的博客
11-17 644
jarvisoj_level3 Checksec: Ida: 标准的ret2libc,offest=0x88+4 有write和read的plt地址 Exp: from pwn import* from LibcSearcher import* r=remote("node4.buuoj.cn",26088) elf=ELF('./level3') context.log_level = 'debug' payload=flat('a'*0x88+'bbbb') payload+=
jarvis oj level3
CNXBDSa的博客
07-27 388
首先先了解一下libc库的知识详情请移步大佬总结 了解一下plt和got表详情请移步大佬总结 然后是做题过程首先老规矩在ubuntu中checksec+文件名查看有无什么保护机制和位数 Arch:说明这个文件的属性是什么,说明是32位的程序。 Stack:canary,这个主要是说栈保护的东西,所利用的东西就是相当于网站的cookie,linux中把这种cookie信息称为cana...
Jarvis oj level3
发蝴蝶和大脑斧的博客
12-04 1109
下载下来发现有level3文件和libc.so文件,先checksec,和level2差不多,接着ida打开level3,没找到system函数和bin字符串,没什么办法了。接着去看so文件,libc是Linux下的ANSI C的函数库。找到了system函数和bin字符串。那么怎么利用呢? 首先了解plt和got表。链接 我是这么理解的:plt表中存放的是函数在got表中该项的地址,got表存放...
Jarvis OJ level3 writeup
PLpa的博客
07-07 273
这题是典型的ROP返回libc地址题,是一个十分经典的ROP题目。 拿到题目我们可以看到他给出了一个rar文件,我们拿这个文件到Linux中解压一下: 解压出两个文件:level3和libc-2.19.so。 我们查看一下这两个文件的保护: 可以看到,libc-2.19.so保护全部开启了(幸好不是攻击他,哈哈),而level3只开了NX保护。 我们把level3放到IDA中查看一下程序逻辑:...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
JarvisAlgorithm:Jarvis算法-Java
03-06
3. **连接最近点**:将起始点与最近点连成一条线段,并将最近点作为新的当前点。 4. **迭代过程**:重复第二步和第三步,直到返回到起点为止。每次迭代时,都要检查当前点是否已经被包含在已知的凸包线上,如果是,...
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
02-05
jarvisJARVIS-Tools:用于数据驱动的原子材料设计的开源软件包
Jarvis AI-crx插件
04-02
简单地说,jarvis ai程序用真正的声音响应你的小命令,并帮助您将google.xx重定向到google.com和... 简单地,jarvis ai计划响应您的 具有真正的声音的Little命令并帮助您将Google.xx重定向到Google.com并摆脱这些....
(Jarvis Oj)(Pwn) level3
Nothing
04-24 1651
(Jarvis Oj)(Pwn) level3 首先用checksec查看一下保护。 依然开启了NX保护。ida反汇编,找到溢出点。 可是呢,这次在程序中并没有找到system函数,和”/bin/sh”字符串,那么这次该如何拿到shell呢,还是利用system函数,但是没有程序中system的plt,我们如何获取system的地址呢,这需要利用到在libc.so文件中各个函数的相对...
BUUCTF:jarvisoj_level3_x64(write up)
qq_44768749的博客
08-24 880
BUUCTF:jarvisoj_level3_x640x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,仅开启栈不可执行保护 0x02 运行 输入一个字符串 0x03 IDA 字符串可输入长度可造成栈溢出 0x04 思路 没有提供system函数和"/bin/sh"的地址 第一次栈溢出泄露read函数地址来得到libc版本,从而获取system函数和"/bin/sh"的地址,并且返回主函数 这里有个难点就是参数需要放到对应
jarvisoj——[XMAN]level3
王嘟嘟的博客
07-19 297
题目 Wp 查一下常规,开了NX,NX开了之后就不能执行自己的shellcode了。 ida看一下, 依旧是这里存在缓存区溢出 首先填充字段就是’A’*88+‘B’*4 然后找到system的地址 00040310 readelf -s libc-2.19.so |grep system 返回地址随便,现在找参数bin,现在可以看到是162d4c strings -atx libc-2.19.so |grep /bin 现在还需要使用write来读出真实的offect from pwn imp
buuctf ---- jarvisoj_level(全)
L0g1c的博客
01-22 3551
buuctf ----- jarvisoj_level0 运行一下程序 使用64位的IDA查看程序 查看vulner_function函数 发现buf存在溢出漏洞,buf是0x80,read了0x200 存在栈溢出漏洞 发现后门函数system("/bin/sh"),解题思路:修改read函数的ret address 为后门函数的地址。 编写exp from pwn import* io=remote("node4.buuoj.cn",26034) sys_addr=0x0400596 pa
Jarvis OJ [XMAN]level3 [XMAN]level3
九层台
07-07 1438
查询保护 liu@liu-F117-F:~/桌面/oj/level3$ checksec level3 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3/level3' Arch: i386-32-little RELRO: Partial RELRO Stack: No canary found ...
jarvis oj level3_x64
发蝴蝶和大脑斧的博客
12-07 802
level3_x64里没有找到system函数,但给了libc.so文件,应该是和level3一样的想法。 先找到操作寄存器的地址,因为write需要3个参数,所以需要rdi,rsi,rdx。但我们搜索只找到了rdi和rsi。 0x00000000004006b3 : pop rdi ; ret 0x00000000004006b1 : pop rsi ; pop r15 ; ret 根据网上w...
Jarvis OJ [XMAN]level3(x64)
九层台
07-09 1061
liu@liu-F117-F:~/桌面/oj/level3_x64$ checksec level3_x64 [*] '/home/liu/\xe6\xa1\x8c\xe9\x9d\xa2/oj/level3_x64/level3_x64' Arch: amd64-64-little RELRO: No RELRO Stack: No canary fo...
Jarvis OJ-level3
weixin_30332241的博客
05-15 90
使用ret2libc攻击方法绕过数据执行保护 from pwn import* conn = remote("pwn2.jarvisoj.com",9879) elf = ELF('level3') libc = ELF('libc-2.19.so') plt_write = elf.symbols['write'] #0804834 print 'plt_write =...
jarvis oj level3/level4--多种解法实现ret2libc
超人学飞的日子
04-09 782
level3和level4都是ret2libc的典型题目,只不过level3给了libc文件而level4没有给。 这里以leve3为例,使用多种方式实现ret2libc 一,使用给定的libc文件,计算偏移地址 整体思路就是通过首先泄露处libc中某个函数运行时的实际地址,再通过给定的libc文件计算出system函数的实际地址,跳转到system函数执行 基础原理:http://ww...
jarvisoj_level0
最新发布
08-14
- *3* [jarvis oj---level0解题方法](https://blog.csdn.net/weixin_45427676/article/details/97272924)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值